Workday HCM ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーは、JSON 形式のログから Workday HCM のユーザーデータを抽出します。フィールドの名前変更、ネストされたオブジェクトの統合、日付の解析、ユーザー属性、雇用に関する詳細、組織構造の UDM フィールドへの入力など、さまざまなデータ変換を処理します。また、JSON の形式が正しくない場合や重要なフィールドがない場合のエラー処理も含まれています。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Workday への特権アクセス権があることを確認します。
Workday で統合システム ユーザー(ISU)を作成する
- 管理者権限で Workday にログインします。
- 検索バーに「Create Integration System User」と入力し、結果からタスクを選択します。
- [Username] にユーザー名を入力します。
- パスワードを設定します。
- ISU がタイムアウトしないように、[セッション タイムアウト(分)] を
0に設定します。 - [UI セッションを許可しない] チェックボックスをオンにして、UI ログインを制限し、セキュリティを強化します。
- パスワード ルールを維持するタスクに進みます。
- 統合システム ユーザーをパスワードの有効期限の適用対象から除外するには、[パスワードの有効期限の適用対象外となるシステム ユーザー] フィールドにユーザーを追加します。
Workday で統合セキュリティ グループを作成する
- 検索バーに「Create Security Group」と入力し、結果からタスクを選択します。
- [Type of Tenanted Security Group] フィールドを見つけて、[Integration System Security Group (Unconstrained)] を選択します。
- セキュリティ グループの名前を指定します。
- [OK] をクリックします。
- 新しく作成したセキュリティ グループの [編集] をクリックします。
- 前の手順で作成した統合システム ユーザーをセキュリティ グループに割り当てます。
- [完了] をクリックします。
Workday のセキュリティ グループへのドメイン アクセス権を付与する
- 検索バーに「セキュリティ グループの権限を維持する」と入力し、結果からタスクを選択します。
- [ソース セキュリティ グループ] リストから作成したセキュリティ グループを選択し、権限を変更します。
- [OK] をクリックします。
- [セキュリティ グループの権限を維持する] > [ドメイン セキュリティ ポリシーの権限] に移動します。
- GET オペレーションなど、各ドメインに必要な権限を割り当てます。
- [OK] をクリックします。
- [完了] をクリックして変更を保存します。
Workday でセキュリティ ポリシーの変更を有効にする
- 検索バーに「Activate Pending Security Policy Changes」と入力し、結果からタスクを選択します。
- コメント フィールドに監査の理由を入力して [OK] をクリックし、[保留中のセキュリティ ポリシーの変更を有効にする] タスクを開始します。
- 次の画面で [確認] チェックボックスをオンにして、[OK] をクリックしてタスクを完了します。
Workday ログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Workday ログ)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- ログタイプとして [Workday] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- API ホスト名: Workday REST API エンドポイントの FQDN。
- テナント: インスタンスを識別する Workday API エンドポイントの最後のパス要素。
- アクセス トークン: OAuth アクセス トークン。
- アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
@timestamp |
read_only_udm.metadata.event_timestamp.seconds |
元のログの @timestamp フィールドの名前が timestamp に変更され、エポックからの経過秒数でタイムスタンプとして解析されます。 |
businessTitle |
read_only_udm.entity.entity.user.title |
未加工ログの businessTitle フィールドから直接マッピングされます。 |
descriptor |
read_only_udm.entity.entity.user.user_display_name |
未加工ログの descriptor フィールドから直接マッピングされます。 |
Employee_ID |
read_only_udm.entity.entity.user.employee_id |
未加工ログの Employee_ID フィールドから直接マッピングされます。 |
Employee_ID |
read_only_udm.entity.metadata.product_entity_id |
id が存在しない場合、未加工ログの Employee_ID フィールドから直接マッピングされます。 |
gopher-supervisor.descriptor |
read_only_udm.entity.entity.user.managers.user_display_name |
元のログの gopher-supervisor.descriptor フィールドから直接マッピングされ、empmanager.user_display_name に名前が変更された後、managers に統合されました。 |
gopher-supervisor.id |
read_only_udm.entity.entity.user.managers.product_object_id |
元のログの gopher-supervisor.id フィールドから直接マッピングされ、empmanager.product_object_id に名前が変更された後、managers に統合されました。 |
gopher-supervisor.primaryWorkEmail |
read_only_udm.entity.entity.user.managers.email_addresses |
元のログの gopher-supervisor.primaryWorkEmail フィールドから直接マッピングされ、managers に統合されます。 |
gopher-time-off.date |
read_only_udm.entity.entity.user.time_off.interval.start_time |
未加工ログの gopher-time-off 配列内の gopher-time-off.date フィールドから日付として解析されます。 |
gopher-time-off.descriptor |
read_only_udm.entity.entity.user.time_off.description |
未加工ログの gopher-time-off 配列内の gopher-time-off.descriptor フィールドから直接マッピングされます。 |
Hire_Date |
read_only_udm.entity.entity.user.hire_date |
未加工ログの Hire_Date フィールドから日付として解析されます。 |
id |
read_only_udm.entity.metadata.product_entity_id |
未加工ログの id フィールドから直接マッピングされます(存在する場合)。 |
Job_Profile |
read_only_udm.entity.entity.user.title |
businessTitle が存在しない場合、未加工ログの Job_Profile フィールドから直接マッピングされます。 |
Legal_Name_First_Name |
read_only_udm.entity.entity.user.first_name |
未加工ログの Legal_Name_First_Name フィールドから直接マッピングされます。 |
Legal_Name_Last_Name |
read_only_udm.entity.entity.user.last_name |
未加工ログの Legal_Name_Last_Name フィールドから直接マッピングされます。 |
location.descriptor |
read_only_udm.entity.entity.location.city |
元のログの location.descriptor フィールドから直接マッピングされ、_location.city に変更された後、entity.entity.location.city に変更されました。 |
primarySupervisoryOrganization.descriptor |
read_only_udm.entity.entity.user.department |
未加工ログの primarySupervisoryOrganization.descriptor フィールドから直接マッピングされます。 |
primaryWorkEmail |
read_only_udm.entity.entity.user.email_addresses |
未加工ログの primaryWorkEmail フィールドから直接マッピングされます。 |
primaryWorkPhone |
read_only_udm.entity.entity.user.phone_numbers |
未加工ログの primaryWorkPhone フィールドから直接マッピングされます。 |
Termination_Date |
read_only_udm.entity.entity.user.termination_date |
未加工ログの Termination_Date フィールドから日付として解析されます。 |
Work_Email |
read_only_udm.entity.entity.user.email_addresses |
primaryWorkEmail が存在しない場合、未加工ログの Work_Email フィールドから直接マッピングされます。 |
collection_time |
read_only_udm.metadata.event_timestamp.collected_timestamp |
ログの collection_time は collected_timestamp にマッピングされます。 |
変更点
2022-09-15
- デフォルトのパーサーに移行しました。
2022-05-11
- デフォルトのパーサーに移行しました。